Syslog 転送

このアクションは、検出したイベントログをSyslogサーバーへ転送します。

 プロトコルタイプ

Syslogメッセージの転送に使用するプロトコルを指定します。デフォルトはUDPです。

Syslogメッセージは、一般的にUDP、TCP、RFC 3195 Rawで送信できます。通常、Syslogメッセージ

はデフォルトであるUDPプロトコルを介して受信されます。UDPはほとんどすべてのサーバーで認識さ れますが、転送は保障されません。つまり、ネットワークエラーが発生したり、ネットワークが輻輳したり、

（ルーターやスイッチなどの）デバイスにバッファ容量が不足したりすると、UDP経由で送信されたSyslog メッセージが失われる可能性があります。通常、UDPで問題なく動作します。ただし、少ない数であっても

EventReporter v17 マニュアル rev1.0 129 メッセージの損失が許容できない場合は使用するべきではありません。

TCPとRFC 3195ベースのSyslogメッセージは、UDPよりも信頼性が優れています。RFC 3195は特

別な標準化された転送モードです。（Adiscon製品はRFC 3195をサーバー実装でもサポートしています が、）実際のところ、RFC 3195はあまり使用されていません。このため、本当に必要でない限り、RFC 3195モードを使用しないことをお勧めします。

TCPについては、既存のすべての実装に最適な互換性を提供するために、次の3つのモードをサポート しています。

• TCP（1件ずつ送信：その度に接続・切断します）

2006 年以前の Adiscon サーバーのための互換モードです。他のベンダーでも要求される場合があ

ります。必要な場合を除き、このモードを使用しないことをお勧めします。

• TCP（複数で送信：接続を維持）

1 度の接続で複数のメッセージを送信します。この接続は長時間開いたままになります。このモード はほとんどすべての実装と互換性があり、優れたパフォーマンスが期待できます。ただし制御文字が

Syslogメッセージに存在する場合、問題が発生する可能性があります。

• TCP（OCTET：接続を維持）

IETF 標準のアルゴリズムを実装しています。このモードも接続が維持されます。このモードは信頼性 が高く、埋め込みの制御文字も問題なく処理します。しかし、このモードに対応したレシーバーは非常 に限られています。そのため、このモードは、Adiscon製品間の通信でご利用になることをお勧めしま す。

経験則では、（新しい）Adiscon製品のみを使用する場合は、「TCP（OCTET：接続を維持）」を使用するこ とをお勧めします。そうでない場合は、おそらく「TCP（複数で送信：接続を維持）」が最適です。この2つの オプションのいずれかを選択した場合は、「セッションタイムアウト」を選択することもできます。メッセージ が送信されずタイムアウトした場合は、接続が切断されます。「セッションタイムアウト」にはデフォルトの

30分（30 minutes）を使用することをお勧めします。たまにしかメッセージが送信されない場合は、より短

いタイムアウト値を使用する方がよいかもしれません。これによりサーバーマシンの接続スロットが解放さ れます。

EventReporter v17 マニュアル rev1.0 130

Syslog ターゲットオプション

ここでは「Syslogターゲットオプション」タブについて説明します。

Syslog送信モードを次の2つのオプションから選択できます：

• 単一のSyslogサーバーを使用する（バックアップサーバーは任意）

• ラウンドロビン（複数のSyslogサーバー）を使用する

単一のSyslogサーバーを使用する

 Syslog サーバー

Syslogメッセージの送信先システムの名前またはIPアドレスを指定します。IPv4アドレス、IPv6アドレ

ス、IPv4またはIPv6アドレスに解決されるホスト名のいずれかを指定できます。

 Syslog ポート

Syslog送信に使用するポート番号を指定します。よくわからない場合は、デフォルト値の514のままにし

ておいてください。異なるポートは、例えばセキュリティへの配慮が必要な場合などに使用されます。

0を指定すると、システム提供のデフォルト値が使用されます（デフォルトではほとんどすべてのシステム で514が設定されています）。

 接続できない時にバックアップサーバーに切り替える

このチェックボックスをオンにすると、（「Syslog サーバー」フィールドで指定した）プライマリのSyslog サ ーバーへの接続が失敗した場合に、バックアップサーバーが動的に使用されます。プライマリサーバーは

次のSyslogセッションがオープンされると自動的に再試行されます。

EventReporter v17 マニュアル rev1.0 131 注記： このオプションは「TCP」を使用している場合にのみ使用できます。

 バックアップサーバー

「接続できない時にバックアップサーバーに切り替える」がオンの場合に、バックアップサーバーとし て使用するSyslogメッセージの送信先システムの名前またはIPアドレスを指定します。

 バックアップサーバーのポート

「接続できない時にバックアップサーバーに切り替える」がオンの場合に、Syslog送信に使用するポ ート番号を指定します。

ラウンドロビン（複数のSyslogサーバー）を使用する

 各Syslog サーバーへ送信するメッセージ数

ひとつのsyslogサーバーに連続して送信するメッセージ数を入力します。送信したメッセージ数がここで

指定した値に達すると、送信先がテーブルのリストの次のsyslogサーバーに切り替わります。

 Syslog サーバー （テーブル）

 Syslog サーバー

Syslogメッセージの送信先システムの名前またはIPアドレスを指定します。IPv4アドレス、IPv6アド

レス、IPv4またはIPv6アドレスに解決されるホスト名のいずれかを指定できます。

 Syslog ポート

Syslog送信に使用するポート番号を指定します。

Syslog メッセージ オプション

ここでは「Syslogメッセージオプション」タブについて説明します。

EventReporter v17 マニュアル rev1.0 132

Syslogメッセージの処理方法を次の4つのオプションから選択できます：

• 受信したデータをそのまま送信

受信したSyslogを処理せずそのまま転送したい場合にオンにします。

• RFC3164を使用（レガシー）

受信したSyslogをRFC3164形式で転送したい場合にオンにします。

• RFC5424を使用（推奨）

受信したSyslogをRFC5424形式で転送したい場合にオンにします。

• カスタム Syslog ヘッダーを使用

受信したSyslogのSyslogヘッダをカスタマイズして転送したい場合にオンにします。

 カスタム Syslog ヘッダーを使用

Syslogメッセージの処理方法として「カスタム Syslog ヘッダーを使用」ラジオボタンがオンの場合

に、使用するカスタムSyslogヘッダの内容を指定できます。（直接テキストを書き込む）固定メッセー ジと（プロパティを挿入する）動的コンテンツの両方を使用できます。プロパティは「挿入」ボタンから指 定することができます。挿入可能なプロパティについては、別紙「WinSyslogプロパティリスト」をご参 照ください。デフォルトでは、RFC5424のヘッダが設定されています。

EventReporter v17 マニュアル rev1.0 133

 出力エンコード

Syslogメッセージ転送の際に使用する文字コードを設定します。「システムデフォルト」、「Unicode

(UTF-8)」、「SHIFT-JIS」、「JIS (ISO-2022JP)」、「EUC-JP」から選択します。

この設定はアジア言語で最も重要です。別のエンコードが必要であることがわかっている場合以外は、「シ ステムデフォルト」のままにすることをお勧めします。「システムデフォルト」はアジア言語（例えば日本語）

のWindowsであってもほとんどの場合、問題なく機能します。

 メッセージにUTF-8 BOMを含める

「出力エンコード」で「Unicode (UTF-8)」を選択している場合にのみ使用できます。

このチェックボックスをオンにすると、UTF-8 BOMコードが出力メッセージの先頭に追加されます。

Syslog受信側がUTF-8 BOMを処理して削除できない場合は、オフにすることができます。

 XML送信

このチェックボックスをオンにすると、転送されたSyslogメッセージは完全なXML形式の情報レコードに なります。これには、タイムスタンプや送信元（オリジナル）システムなどの追加情報が、簡単に解析できる 形式で含まれています。

XMLフォーマットのメッセージは、受信側のシステムがXMLデータを解析できる場合に特に便利です。

しかし、他の方法では転送できない追加の情報が含まれているため、閲覧するユーザーにとっても有用か もしれません。

 XMLの表記コードをMWAgentとして転送する

MWAgent（MonitorWareエージェント）は、イベントの特定のXML表記をサポートしています。このチェッ

クボックスをオンにすると、転送されたSyslogメッセージにXML表記が使用されます。その場合、インフ ォメーションユニットタイプ、オリジナルソースシステム、受信時刻などの追加情報が提供されますが、人間 にとっては読みづらくなります。ですが、この形式は、解析を容易に行うことができるようになります。

注記： このオプションは、実験的なものであり、公式な標準ではありません。

 CEE Syslog フォーマットを使用

このチェックボックスをオンにすると、新しいCEE拡張Syslog形式が（作業中に）使用されます。有用な プロパティはすべてJSONストリームに含まれます。メッセージ自体も含めることができます。

例： セキュリティイベントログメッセージ形式